절제 불가능한 위암에서 고식적 위 공장 우회술의 의의

김환수 고려대학교 대학원 2009 국내석사

Abstract The Significance of Palliative Gastrojejunostomy in Patients with Unresectable Gastric Cancer Hwan-Soo Kim, M.D Surgery, Department of Medical Science Graduate School Korea University, Seoul, Korea <Director: Professor Seung Joo Kim, M.D., Ph.D> Purpose: The aim of this study was to evaluate the significance of palliative gastrojejunostomy in patients with unresectable advanced gastric cancer compared with laparotomy in incurable gastric cancer. Materials and Methods: We retrospectively studied 298 patients who could not be resected in Korea University Hospital from 1984 to 2007.They were classified into two groups that underwent palliative gastrojejnostomy (bypass group,n=175) and explo-laparotomy (O&C group,n=123), clinical data and operative outcomes were compared. Results: In clinical characteristics, the tumor location was mainly lower one-third in bypass group and obstructive symptom was present in about 60% of bypass group. For postoperative mortality and morbidity, there was no difference between two groups. In postoperative outcomes, the duration of hospital stay (24.14 vs 26.26), interval of 1st postoperative readmission (51.11 vs 40.02), procedure (27.4% vs 40.7%), chemotherapy (63.2% vs 45.5%) and median overall survival (10.49 month vs. 7.486 month) were significantly different. By multivariate analysis, the presence of peritoneal metastasis was identified as the independent prognostic factor in incurable gastric cancer. Conclusion: In incurable gastric cancer patients, the palliative bypass procedure could be an alternative treatment option and give chance to prolong life expectancy by improving the quality of life. 절제 불가능한 진행성 위암에서 고식적 위 공장 우회 술의 의의 고려대학교 의과대학 외 과 학 교실 김환수, 장유진, 김종한, 박성수, 박성흠, 목영재, 김종석, 김승주 목적: 진행성 위암에서 수술 소견상 복막파종을 비롯한 복강 내 원격전이가 존재하거나 주위 장기에 침윤이 심하여 절제가 불가능한 경우 진단적 개복술로 수술을 끝내기도 하지만 때로는 암으로 인한 출혈이나 유문부 폐색등의 증상 완화를 위하여 고식적 위 공장 우회술을 시행하기도 한다. 이 에 저자들은 이러한 절제 불가능한 진행성 위암에서 고식적 위 공장 우회술을 시행한 경우를 단 순 개복술을 시행한 경우와 비교하여 그 의의를 알고자 하였다. 대상 및 방법: 1984년 2월 21일부터 2007년 10월 10일까지 고려대학교 의료원에서 위암 진단 후 수술을 시행 받은 진행성 위암 환자 중 근치적 절제를 시행하지 못한 환자 299명을 대상으로 입원 기록 및 외래 진료 기록을 검토하여, 이들 환자를 위 공장 우회 술을 시행한 군(group 1)과 시행하지 않은 군(group 2)으로 구분하여, 임상병리학적 인자에 따른 단변량 및 다변량 생존 분석을 시행 하였다. 결과 : 위 공장 우회 술을 시행한 군에서 평균 나이 58.42세, 시행하지 않은 군에서 평균 나이 51.70세(p ≤ 0.00) 이었으며 , 첫 번째 재입원까지의 기간에서 위 공장 우회 술을 시행한 군에서 평균 51.11일, 시행하지 않은 군에서 평균 40.02일( p ≤ 0.00) 로 유의한 차이를 보였다. 성별(p = 0.009), 술 전 폐쇄 증상(p ≤ 0.00), 복막 파종 정도(p = 0.001), 병소의 위치(p ≤ 0.000), 술 후 전신 항암 화학 요법 시행 유무(p = 0.003), 술 후 중재적 시술 시행 유무(p = 0.018) 등에서도 유의한 차이를 보였다. 또한 생존 기간에서도 유의한 차이 위 공장 우회 술을 시행한 군에서 평균 10.487개월, 시행하지 않은 군에서 7.486 개월( p = 0.024) 의 결과를 보였다. 결론 : 절제 불가능한 진행성 위암 환자에 대하여 위 공장 우회 술을 시행하는 환자에 있어서 첫 번째 재입원까지의 기간이 길어지고, 술 후 중재적 시술 시행이 줄어 드는 효과를 기대할 수 있으며, 생존 기간의 연장도 기대할 수 있다.

자동차 보안 내재화 방법론에 관한 연구

정승연 고려대학교 대학원 2021 국내석사

기존의 자동차 개발은 주로 정확성(Functional Correctness) 및 안전성(Safety) 확보에 초점을 맞추어 왔으며, 이에 반해 보안성(Security)은 비교적 소홀하게 다루어져 왔다. 하지만 최근 자동차의 인터넷 연결성이 높아짐에 따라 자동차 해킹 사례가 증가하면서, 유엔유럽경제위원회(United Nations Economic Commission for Europe, UNECE)와 같은 국제기관은 자동차 개발에 대한 보안성을 확보하기 위해 사이버보안 규제를 준비하고 있다. 다른 IT 제품과 마찬가지로 자동차 사이버보안 규제에서 또한 개발 초기부터 보안성을 고려하는 ‘보안 내재화(Security-by-design)’의 개념을 강조한다. 특히 자동차 개발은 생명주기가 길고 공급망이 복잡하기 때문에 개발 이후에 아키텍처를 변경하는 것이 매우 어려우므로, 자동차 개발에 있어 보안 내재화는 기존 IT 제품에 비해 훨씬 더 중요시된다. 그러나 문제는 아직 자동차 개발 과정에 보안을 내재화하는 구체적인 방법론이 제시되지 못하고 있다는 것이다. 이에 본 논문에서는 자동차 보안 내재화를 위한 구체적인 방법론을 제안한다. 본 논문에서 제안된 방법론을 통해 자동차 제조사는 자동차 개발 과정에 있어 안전성과 보안성의 측면을 동시에 고려할 수 있으며, 다가오는 UNECE 자동차 사이버보안 규제(이하 UNECE 사이버보안 규제)에 대한 인증에도 대응할 수 있을 것이다.

CIA-Level 기반 보안내재화 개발 프레임워크에 관한 연구

강수영 고려대학교 정보보호대학원 2021 국내박사

미국 정부는 1970년대 초반부터 모의해킹만으로는 제품의 보안 품질을 향상시킬 수 없다는 것을 인지하기 시작하였다. 모의해킹팀의 역량에 따라 찾을 수 있는 취약점이 달라지며, 취약점이 발견되지 않았다고 해서 해당 제품에 취약점이 없는 것은 아니기 때문이다. 제품의 보안 품질을 향상시키기 위해서는 결국 개발 프로세스 자체가 체계적이고 엄격하게 관리되어야 함을 깨달은 미국 정부는 1980년대부터 보안내재화(Security-by-Design) 개발 방법론 및 평가‧조달 체계와 관련한 각종 표준을 발표하기 시작한다. 보안내재화란 제품의 요구사항 분석 및 설계 단계에서부터 일찍 보안을 고려함으로써 제품의 복잡도(complexity)를 감소시키고, 궁극적으로는 제품의 신뢰성(trustworthy)을 달성하는 것을 의미한다. 이후 이러한 보안내재화 철학은 Microsoft 및 IBM에 의해 Secure SDLC(Secure Software Development Life Cycle)라는 이름으로 2002년부터 민간에 본격적으로 전파되기 시작하였으며, 현재는 자동차 및 첨단 무기 체계 등 다양한 분야에서 활용되고 있다. 하지만 문제는 현재 공개되어 있는 Secure SDLC 관련 표준이나 가이드라인들이 매우 일반적이고 선언적인 내용만을 담고 있기 때문에 이를 실제 현장에서 구현하기란 쉽지 않다는 것이다. 따라서 본 논문에서는 Secure SDLC를 기업체가 원하는 수준에 맞게 구체화시키는 방법론에 대해 제시한다. 본 논문에서 제안하는 CIA(functional Correctness, safety Integrity, security Assurance)-Level 기반 보안내재화 프레임워크는 기존 Secure SDLC에 증적 자료 기반 보안 기법(evidence-based approach)을 접목한 것으로, 본 프레임워크를 이용할 경우 첫째 경쟁사와 자사 간의 Secure SDLC 프로세스의 수준 차이를 정량적으로 분석할 수 있으며, 둘째 원하는 수준의 Secure SDLC를 구축하는데 필요한 상세한 세부 활동 및 산출해야 할 문서 등을 쉽게 도출할 수 있으므로 실제 현장에서 Secure SDLC를 구축하고자 할 때 매우 유용하다. 마지막으로 CIA-Level 기반 보안내재화 프레임워크를 국내 기업의 전체 프로세스에 적용한 결과와 요구사항 분석 및 설계 단계의 요소 기술을 직접 수행한 결과를 제공함으로써 본 연구의 실효성을 입증하였다.

사물 인터넷 스마트 기기의 취약점 분석 및 보안성 측정 방법에 관한 연구

이기택 고려대학교 정보보호대학원 2021 국내박사

최근 스마트 기기와 사물 인터넷은 전 세계에서 급속도로 발전하고, 우리의 생활에 다양한 용도로 사용되고 있다. 스마트 TV를 중심으로 가전 기기는 스마트 기기로 탈바꿈하고 있다. 또한, 이러한 가전 기기들은 사물 인터넷의 기능을 포함하거나 사물 인터넷 기기와 연결되어 가고 있다. 스마트 기기와 사물 인터넷은 인터넷 또는 클라우드로 연결되어 있다. 기기들은 사람의 생활 정보과 패턴을 포함한 빅데이터를 수집하고, 전송 또는 분석한다. 분석된 데이터를 활용하여, 사람들에게 필요한 정보들과 기능들을 예측하고, 사람들에게 신속하게 필요한 정보를 전달하거나 편의 기능을 제공하기도 한다. 하지만, 스마트 기기와 사물 인터넷이 발전하고 확산되는 것과 동시에 사이버 공격에 점점 노출되고 있다. 이러한 사이버 공격으로 개인정보와 같은 민감 정보들이 유출되고, 공격자는 기기들의 제어권을 탈취할 수 있다. 또한, 공격자들은 스마트 기기와 사물 인터넷 기기에서 획득할 수 있는 개인정보로 금융 자산을 탈취한다. 획득한 기기의 제어권으로 기기에 오동작을 발생시킴으로써 우리의 생명과 안전을 위협할 수 있다. 이러한 사물 인터넷의 정보 보안 분야의 다양한 연구들에서 스마트 기기와 사물 인터넷 기기의 사이버 공격에 대한 위협을 다루었지만, 사물 인터넷 스마트 기기에 적합한 취약점 분석과 보안성 측정을 연계한 연구가 부족하다. 또한, 사물 인터넷 기기의 취약점 분석 방법론 관련 연구들도 실제 공격자들이 사용하는 공격 방법과 기업 내에서 취약점 분석하는 방법들을 다루고 있지 못했다. 따라서, 본 연구에서는 사물 인터넷 스마트 기기의 보안성 향상을 위한 실질적인 취약점을 분석하는 방법과 보안성 수준을 측정하고 평가하기 위한 방법론을 제시하고자 한다. 이를 위해 사물 인터넷 스마트 기기의 기능 및 종류에 따른 기능 및 보안 요소, 그리고 보안 위협들을 상세하게 살펴본다. 그리고, 사물 인터넷 스마트 기기에 적합한 취약점 분석 방법론을 제안하고, 2종의 사물 인터넷 스마트 기기에 제시한 방법론을 적용하여 취약점 분석 및 보안성을 평가하여 결과를 제시한다. 이 연구 결과를 통해 향후 사물 인터넷 스마트 기기에서 발생할 수 있는 보안 취약성과 위협을 보다 효율적으로 분석할 수 있는 기반을 제공하고, 객관적인 사물 인터넷의 보안성 측정에 기여할 수 있을 것으로 기대한다.

BinTyper : type confusion detection for C++ Binaries

김동주 Graduate School of Cybersecurity, Korea University 2021 국내석사

타입 컨퓨전 버그는 C++로 개발된 소프트웨어를 공격하기 위해 사용되는 인기 있는 취약점 클래스 중 하나이다. 이 버그는 프로그램이 오브젝트를 호환되지 않는 클래스 타입으로 형변환(타입캐스팅)하여 발생한다. 공격자는 이 취약점(버그)을 악용해 대상 소프트웨어에서 악성 코드를 실행할 수 있다. 유형 혼동 버그를 탐지하기 위한 기존 연구들은 모두 소스 코드 수준에서 제안되었다. 이들은 소스 코드의 컴파일 과정에서 타입캐스팅 연산자에 타입 호환성을 검증하기 위한 추가적인 코드를 삽입하여 런타임에서 타입 컨퓨전 버그를 탐지한다. 그러나 이러한 방법들은 바이너리 수준에서 적용될 수 없다. 컴파일된 바이너리에는 클래스 정보와 타입캐스팅 연산자 등의 고수준 정보가 존재하지 않기 때문이다. 본 논문은 바이너리 수준에서 타입 컨퓨전 버그를 탐지할 수 있는 최초의 도구인 BinTyper를 제안한다. BinTyper는 정적 분석을 통해 클래스 오브젝트를 클래스 상속 구조에 따라 여러 영역으로 나눈다. 이후 동적 분석을 수행해 타입 컨퓨전 버그를 유발하지 않고 프로그램이 실행되기 위해 오브젝트에 필요한 조건들을 추론한다. 마지막으로, 추론된 조건들을 바탕으로 타입 호환성을 검증하여 타입 컨퓨전 버그를 탐지한다. 우리는 제안된 방법을 Google PDFium과 LibSass에 적용해 바이너리 수준에서 타입 컨퓨전 버그를 성공적으로 탐지하였다. Type confusion bug is a popular vulnerability class used to attack C++-based software. This bug occurs when a program typecasts an object to an incompatible class type. An attacker can exploit this vulnerability to execute malicious code on the target software. Existing researches to detect type confusion bugs have been proposed at the source level. They perform detection at runtime by adding extra code that verifies type compatibility to the typecasting operator. However, this approach is not applicable at the binary level, because high-level information such as class information and the typecasting operator does not exist in the compiled binary. In this paper, we propose BinTyper, a tool that detects type confusion bugs at the binary level for the first time. BinTyper divides the object into several areas according to the class hierarchy by static analysis. After that, BinTyper performs dynamic analysis to infer the condition of the object for the program to be executed without causing a type confusion bug. Finally, based on the inferred condition, type compatibility is verified to detect a type confusion bug. We actually applied our proposed method to Google PDFium and LibSass, which confirmed that our proposed method successfully detects a type confusion bug at the binary level.

동적 분석을 이용한 모바일 애플리케이션의 클라우드 API 취약점 분석에 관한 연구

박현준 고려대학교 정보보호대학원 2020 국내석사

컴퓨팅 환경이 모바일로 옮겨가면서 모바일 앱에서 처리해야 하는 데이터의 양도 증가하고 있다. 이에 클라우드 서비스는 모바일 앱에서 필요로 하는 데이터 저장, 분석, 사용자 알림 등을 구현할 수 있도록 발전해왔으며, 개발자는 클라우드 개발도구를 통해 모바일 앱에서 발생하는 데이터를 쉽게 처리할 수 있다. 그러나 클라우드 사용자 인증에 사용되는 자격인증 키에 대한 관리 실패로 인해 매년 대규모의 데이터 유출 사고가 발생하고 있다. 이에 클라우드 보안 위협을 식별하고 취약점을 효율적으로 점검하는 방안이 필요하다. 본 논문에서는 Google Play에 등록된 안드로이드 앱 35만 개를 대상으로 클라우드 사용 여부를 식별하였다. 또한, 모바일 앱 동적 분석을 통해 클라우드 자격인증 키를 추출하는 기법을 소개한다. 마지막으로 취약점 점검 결과 및 완화 방안을 제시한다.

무기체계 개발을 위한 RMF A&A의 실증에 관한 연구

조광수 고려대학교 정보보호대학원 2021 국내석사

소프트웨어를 안전하게 관리하기 위해 군은 RMF A&A(Risk Management Framework Assessment & Authorization) 표준에 따라 제품을 구매하고 관리한다. 해당 표준은 무기체계를 비롯하여 군에서 사용되는 IT 제품의 획득 체계에 관한 표준으로 제품에 대한 요구사항, 평가를 통한 구매, 유지보수를 다룬다. 해당 표준에 따르면 제품 개발활동에는 군에서 제시한 임무의 위험도(Mission Criticality)가 반영되어야 한다. 즉, 개발사는 보안 내재화 및 공급망 보안을 통해 제시된 위험도를 완화하였고, RMF A&A의 보안 요구사항을 제대로 준수하였음을 입증하는 자료를 제출해야하고, 군에서는 개발사로부터 제출된 증거자료에 대한 평가를 통해 최종 획득 여부를 결정한다. 이에 따라 군에 무기체계를 비롯한 전산 시스템을 납품하고자 하는 개발사는 위험도에 기반한 개발활동을 수행하는 것도 중요하지만 RMF A&A의 평가 요구사항을 만족할 수 있도록 증거자료를 도출해야 한다. 기존에 RMF A&A 실증 연구가 수행된 사례가 있지만, RMF A&A의 전체 단계가 아닌 일부분에 대해서만 다루고 있고, 해당 연구의 실증 사례가 대외비인 관계로 상세한 정보가 공개되지 않아 실제 산업 환경에 적용하는데 어려움이 있다. 이에 본 논문에서는 군의 위험도 측정 표준, RMF A&A 관련 표준들을 분석하고, 이를 바탕으로 위험도에 기반하여 군 RMF A&A의 요구사항을 만족시킬 수 있는 증거자료 작성방안에 대해 제시한다. 또한, 제시한 방법론을 실제 드론 시스템에 적용하여 작성된 증거자료가 RMF A&A의 요구사항에 부합한지 검증을 수행한다.

MS RDP 클라이언트 퍼징에 관한 연구

박천성 고려대학교 정보보호대학원 2022 국내석사

마이크로소프트社가 개발한 RDP(Reomote Desktop Protocol)는 윈도우 환경의 컴퓨터에 원격으로 연결하는데 사용되며, 사용자에게 그래픽 인터페이스를 제공하여 다른 컴퓨터에 연결할 수 있게 한다. RDP 클라이언트는 마이크로소프트 윈도우를 비롯해 리눅스, iOS, MacOS, 안드로이드 등 대부분의 운영체제를 지원한다. 이 프로그램은 Covid-19 사태 이 후, 원격근무가 활성화되면서 회사에서 가장 많이 사용되는 도구 중 하나이다. 본 논문에서는 RDP에서 사용하는 가상채널을 대상으로 취약점을 찾는 방법론을 연구하 고 취약점을 찾는 도구를 개발하였다. 도구의 이름은 RDPAFL이다. 이 도구는 RDP 가상 채널 모델에서 효과적으로 동작하며 유의미한 취약점들을 찾아냈다. 또한 해당 취약점을 분석하여 RDP 클라이언트를 대상으로 실제 위협이 가능하다는 사실을 확인하였다. 이 결 과 우리는 마이크로소프트社의 RDP 클라이언트 프로그램에서 메모리 커럽션 유형의 취약 점을 이용한 공격이 가능한 것을 최초로 증명했다. 메모리 커럽션 유형의 취약점을 RDP 통신을 이용하여 공격하기 위해서는 서버에 있는 공격자가 클라이언트측의 메모리를 원하 는데로 할당하고 해제하고 배치되도록 다룰 수 있어야 한다. 우리는 이것을 할 수 있는 공 격기법도 제안한다. 우리가 개발한 기술들만을 이용하여 마이크로소프트 윈도우 환경의 RDP 클라이언트에 서 RCE(Remote Code Execution)를 성공하였다. 연구 결과는 모두 마이크로소프트社에 전 달하였으며 가치 있는 결과로 인정받고 패치도 진행되었다. 이를 통해 본 연구 결과들은 RDP 보안성 향상에 기여를 하였다.

포그 기반 IoT 환경의 분산 신뢰 관리 시스템

오정민 고려대학교 정보보호대학원 2022 국내석사

The Internet of Things is a huge group where countless devices, such as wearable devices and smartphones, communicate with each other regardless of type. As a basic requirement of the Internet of Things, devices need to be interconnected. Therefore, choosing a trusted device is very important. The communication with a malicious device can adversely affect quality of service by compromising the network or service. However, it is difficult to create a trust model supported mobility and resource constrained IoT devices, which remains a challenge to be addressed for smart life scenarios. For centralized trust management models, there are issues of proprietary operations in central institutions, single point of failure, and resource scalability with increasing IoT devices. On the other hand, in distributed models, devices are directly connected each other without central authorities. But since IoT devices are resource constrained, there are not enough storage spaces and it is difficult to exchange data with all neighbors in the network which leads to data inconsistency. Recently, trust management models with fog nodes and blockchain have been proposed. It was intended to offload the storage and processing to fog nodes to solve the limited resources problem and blockchain will address a problem of centralized model and provide data consistency. However, blockchain has a problem of low throughput and delay, which requires improvement on these problems to be applied to dynamically changing IoT environments. Therefore, we propose a distributed trust management model to determine trusted devices in fog-based IoT environments by applying IOTA which is a DAG-based blockchain system. In the proposed model, the trust value of the device is stored in the blockchain to maintain it without forgery/modulation and improve scalability problems such as throughput delays in the blockchain. 사물인터넷은 웨어러블 디바이스, 스마트폰과 같은 무수히 많은 기기들이 종류에 관계없이 서로 통신하는 거대한 집단으로 네트워크 내 사물의 상호 연결은 사물인터넷의 기본 요구사항이다. 악성 기기와 통신을 하게 될 경우, 네트워크나 서비스를 악의적으로 손상시켜 서비스 품질에 영향을 줄 수 있기 때문에 신뢰할 수 있는 디바이스를 선택하는 것은 매우 중요한 문제이다. 그러나 IoT 기기의 이동성과 연산 자원, 저장 공간의 제약으로 신뢰 관리 모델을 만드는 것은 쉽지 않으며, 이는 스마트 라이프 시나리오를 위해 해결해야 하는 과제로 남아 있다. 중앙 집중 방식의 신뢰 관리 모델의 경우 중앙 기관에서의 독점 운영 및 단일 장애 지점 발생, IoT 기기 중가에 따른 자원 확장의 이슈가 있다. 반면 분산 처리 방식은 기기 간의 연결로 시스템을 구축하기 때문에 별도의 장비 추가 없이도 시스템을 확장 할 수 있으나, IoT 기기의 제한된 자원으로 인해 데이터 교환 및 저장에 한계가 있으며, 정보의 일관성을 보장하기가 어렵다. 최근에는 신뢰 관리를 위하여 포그 노드와 블록체인을 사용하는 모델들이 제안되고 있다. 신뢰 데이터의 연산과 저장을 포그 노드에서 처리하고, 포그 노드를 블록체인에 참여 시켜 자원 제약 문제와 중앙 집중 방식의 문제를 해결하고자 했다. 그러나 블록체인은 낮은 처리량과 속도 지연의 문제를 가지고 있어 동적으로 변화하는 IoT 환경에 적용하기 위해서는 이러한 문제에 대한 개선이 필요하다. 따라서 본 논문에서는 DAG 기반 블록체인 시스템인 IOTA를 적용하여 포그 기반 IoT 환경에서 신뢰할 수 있는 디바이스를 선택하기 위한 분산 신뢰 관리 모델을 제안한다. 제안된 모델에서는 디바이스의 신뢰도를 블록체인에 저장하여 위/변조 없이 관리하며, 블록체인의 낮은 처리량 속도 지연의 확장성 문제를 개선한다.

Revisiting Conventional Wisdom in PoW and PoS-based Blockchains

Suhyeon Lee 고려대학교 정보보호대학원 2023 국내박사

블록체인은 탈중앙화 네트워크 환경에서 신뢰성 있는 트랜잭션을 가능하게 하기 위해 보안 메커니즘이 필요하다. 작업증명(Proof-of-Work)과 지분증명(Proof-of-Stake)은 Sybil 공격에 대응하기 위해 주요 암호화폐에 적용된 대표적인 메커니즘이다. 이 두 메커니즘이 블록체인에서 오랫동안 연구되고 실제로도 적용된 만큼 관련하여 많은 신뢰가 생겨났지만 동시에 여러 통념이 발생했다. 본 논문에서는 기존 통념들이 실제 환경을 고려했을 때 이러한 통념들이 뒤집어질 수 있는 새로운 관점을 제시한다. 그뿐만 아니라, 본 논문은 이에 대한 해결책이 필요하고, 또한 존재한다면, 그러한 해결책을 모색하는 과정을 담고 있다. 첫 번째로 주목한 통념은 작업증명 메커니즘을 사용하는 블록체인 환경이 Selfish mining과 BWH(Block WithHolding) 공격에 취약하다는 판단이다. 본 논문에서는 작업증명 환경이 일정 규모 이상 커지면 마이닝 풀 위주로 블록이 생성된다는 점에 착안하여 마이닝 풀에서 제공되는 정보를 이용해 이 두 가지 대표적인 작업증명의 공격에 대응할 수 있는 방법을 소개한다. 두 번째로 주목한 통념은 BWH 공격이 마이닝풀 환경에서 마이너의 협력을 쉽게 기대할 수 있다는 생각이다. BWH 공격에 대한 기존의 논문에서는 BWH 공격 채굴자들이 추가적인 이득이 발생하는 BWH 공격에 당연히 협조할 것으로 가정이 되었다. 하지만, 본 논문에서는 BWH 공격자 풀에 속하는 채굴자들이 왜 마이닝 풀을 배신하는 것이 최선의 전략이 되는지 소개한다. 마지막인 세 번째로 주목한 통념은 지분증명 환경에서 다수의 지분을 가진 참여자는 시스템을 배신하기 힘들다는 것이다. 지분증명에서는 블록을 생성하는 데 특별한 자원이 낭비가 되지않기 때문에 이를 방지하기 위한 여러 가지 장치가 고안되어 있다. 하지만, 본 논문에서는 시장에 존재하는 공매도 등의 여러 금융상품을 조합했을 시에 다수의 지분을 가진 참여자가 배신할 수 있는 새로운 방법론에 대해 소개한다. Blockchain requires security mechanisms to enable reliable transactions in a decentralized network environment. Proof-of-Work and Proof-of-Stake are representative countermeasures employed in the majority of market-leading cryptocurrencies against Sybil attacks. Due to the fact that these two blockchain approaches have been studied and implemented for a long time, a substantial amount of trust has been built around them. At the same time, various conventional ideas have emerged. This doctoral dissertation demonstrates that such conventional wisdom can be overturned. In addition, this paper contains a process for finding a solution to this problem, if necessary, which also exists. The first conventional wisdom is that a blockchain environment utilizing the proof-of-work mechanism will be vulnerable to self-mining and Block Withholding Attacks. This paper introduces how to respond to two attacks on Proof-of-Work utilizing the information provided by the mining pool. We observed that the majority of miners join mining pools when a Proof-of-Work environment reaches or exceeds a particular size. The second conventional wisdom is that Block Withholding Attack can anticipate easy cooperation in mining pool environments. In the previous research on BWH attacks, it has been hypothesized that the miners will naturally collaborate with the BWH-attacking pool if they provide additional benefits. However, this study demonstrates why it is advantageous for BWH mining pool members to betray the mining pool. The last conventional belief is with regard to Proof-of-Stake that participants with enough deposits are unlikely to violate the system. Various mechanisms have been developed to prevent violations in Proof-of-Stake, as no particular resources are used when generating blocks. However, this study presents a new approach that can be exploited by market participants with a significant amount of stake when combining diverse financial products, such as short selling.